The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"К кому обратиться для аудита безопасности веб-приложения?"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (Системное и пользовательское ПО / FreeBSD)
Изначальное сообщение [ Отслеживать ]

"К кому обратиться для аудита безопасности веб-приложения?"  +/
Сообщение от Глобус (?), 25-Мрт-20, 09:44 
Здравствуйте товарищи АйТи-шники!

Есть ли такая услуга как "аудит безопасности веб-приложения"?
Как это вообще происходит? Куда с этим стоит обратиться?

В идеале - хотелось бы профессионала с кодексом чести :)

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "К кому обратиться для аудита безопасности веб-приложения?"  +/
Сообщение от ыы (?), 25-Мрт-20, 10:14 
> Здравствуйте товарищи АйТи-шники!
> Есть ли такая услуга как "аудит безопасности веб-приложения"?
> Как это вообще происходит? Куда с этим стоит обратиться?
> В идеале - хотелось бы профессионала с кодексом чести :)

заключаете контракт с уважаемой конторой... хоть с Позитив Текнолоджи...

Ответить | Правка | Наверх | Cообщить модератору

2. "К кому обратиться для аудита безопасности веб-приложения?"  +1 +/
Сообщение от Глобус (?), 25-Мрт-20, 12:02 
> заключаете контракт с уважаемой конторой... хоть с Позитив Текнолоджи...

Позвонил им, почту дал... Связи нет пока.

А из местных профи может чисто на человеских договорённостях и оплате на карточку сбера можно работать? Есть же тут тоже серьёзные специалисты.

Ответить | Правка | Наверх | Cообщить модератору

3. "К кому обратиться для аудита безопасности веб-приложения?"  +1 +/
Сообщение от Аноним (3), 25-Мрт-20, 21:35 
> Здравствуйте товарищи АйТи-шники!
> Есть ли такая услуга как "аудит безопасности веб-приложения"?
> Как это вообще происходит? Куда с этим стоит обратиться?
> В идеале - хотелось бы профессионала с кодексом чести :)

Для аудита сгодится любой хороший программист на том языке, на котором приложение. Лучше несколько в параллель.
Даете исходники, человек смотрит, указывает на дырявые или потенциально проблемные места. На языке иб это вайтбокс тест.
Также нужно проверить, насколько безопасно настроен весь стек для работы приложения (конфиги софта, используемые версии). Обычно дают доступ к сети и серверам.  

Есть вариант, когда делают пентест без доступа к коду и серверам. Это вы можете сами сделать, есть софт, который прогоняет разные эксплойты на указанный порт.


Куда с этим обращаться, зависит от потребностей. Вам нужно заключение от специалистов из известной фирмы или достаточно самой проверки. Какой у вас бюджет на всё. Какова возможная цена пропущенной ошибки.

В случае с фирмами встаёт вопрос цены услуг, а фрилансеры могут быть менее квалифицированны, чем ваши разработчики.
Может иметь смысл сразу (без аудита) поставить команде задачу повышения безопасности приложения, дополнительные валидации, фильтрация контента, настройку WAF, анализ логов(выявление попыток), сборка используемых программ с отключением лишних возможностей, конфигурирование с упором на безопасность и т.д.

Ответить | Правка | Наверх | Cообщить модератору

4. "К кому обратиться для аудита безопасности веб-приложения?"  +/
Сообщение от Глобус (?), 25-Мрт-20, 22:33 
> Для аудита сгодится любой хороший программист на том языке, на котором приложение.
> Лучше несколько в параллель.
> Даете исходники, человек смотрит, указывает на дырявые или потенциально проблемные места.
> На языке иб это вайтбокс тест.
> Также нужно проверить, насколько безопасно настроен весь стек для работы приложения (конфиги
> софта, используемые версии). Обычно дают доступ к сети и серверам.

Ну вот вроде к коду не охота давать доступ.

> Есть вариант, когда делают пентест без доступа к коду и серверам. Это
> вы можете сами сделать, есть софт, который прогоняет разные эксплойты на
> указанный порт.

Ну эксплойты наверное от известных движков. У меня полностью "самопал" от начала до конца.

> Куда с этим обращаться, зависит от потребностей. Вам нужно заключение от специалистов
> из известной фирмы или достаточно самой проверки. Какой у вас бюджет
> на всё. Какова возможная цена пропущенной ошибки.

Нет, мне известная фирма не нужна. Мне нужно чтобы знающий человек "пощупал", указал потенциально проблемные места, какие-то принципиальные ошибки.
Бюджет видимо какой-то смешной, тысяч 5 рублей.
Там по ходу дела можно периодически возвращаться к сотрудничеству.

> В случае с фирмами встаёт вопрос цены услуг, а фрилансеры могут быть
> менее квалифицированны, чем ваши разработчики.
> Может иметь смысл сразу (без аудита) поставить команде задачу повышения безопасности приложения,
> дополнительные валидации, фильтрация контента, настройку WAF, анализ логов(выявление
> попыток), сборка используемых программ с отключением лишних возможностей, конфигурирование
> с упором на безопасность и т.д.

Ну да, с фирмами видимо всё должно быть очень серьёзно, сегодня в Позитив Технолоджис походу поржали с меня :) Когда Вася с улицы спрашивает у именитой фирмы сколько будут стоить их услуги чтобы проверить его "личный бложек" :))

Какие вообще там порядки стоимости? Ну если настраиваться на такой "личный" уровень общения.

Ответить | Правка | Наверх | Cообщить модератору

5. "К кому обратиться для аудита безопасности веб-приложения?"  +/
Сообщение от Аноним (3), 29-Мрт-20, 00:03 
Не занимайтесь дурью. Даже если вы найдете специалиста и он вас ломанет, вам все равно придется закрывать уязвимость самостоятельно. Учить вас правильно программировать никто не будет.  

Читайте книжки и руководства по усилению безопасности используемого стека, хотя бы рекомендации OWASP. Смотрите в свой код и думайте, что в нем может пойти не так.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Слёрм
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2020 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру